Pode ser mais adequado para security.stackexchange.com, mas ...
A primeira coisa óbvia a verificar é o criador / proprietário do arquivo. Supondo que você não esteja fazendo nada maluco, como compartilhar credenciais de login entre si e, em vez disso, ter algum Active Directory ou sistema semelhante em que cada usuário tenha sua própria conta, isso pode lhe dizer quem criou os arquivos. Você pode ver isso na caixa de diálogo Propriedades (guia Segurança, clique em Avançado e procure o Proprietário perto da parte superior da janela). Infelizmente, o dono de um arquivo pode ser alterado por qualquer usuário com permissões suficientes, então seu brincalhão poderia estar cobrindo suas pegadas / plantando uma falsa bandeira dessa maneira.
Se os arquivos estiverem indo para um diretório específico (ou caminho de arquivo único), você poderá ativar a auditoria desse diretório / arquivo e ver quando ele será gravado e por quem. Propriedades - > Segurança - > Avançado - > Auditoria, crie uma nova regra para todos os usuários (ou um para cada suspeito) e certifique-se de verificar as operações create file / write e append / create dir. Essas operações aparecerão no log de eventos de segurança.
Você também pode verificar os logs de eventos de login / rede, mas eles podem não ser registrados ou perder o ruído.
Se você pegar o ato em andamento, use o comando net session de um console de administração (CMD ou Powershell) para ver quem está usando atualmente um compartilhamento de rede em seu computador e de qual computador ele é.
